افزونهی Event List برای مدیریت و نمایش رویدادها در سایت استفاده میشود. با استفاده از این افزونه میتوان رویدادهایی مانند جلسات، کلاسها یا کنفرانسها را ایجاد کرده و در یک لیست به بازدیدکنندگان نمایش داد. این افزونه امکان تعریف تاریخ، زمان، توضیحات و دستهبندی برای هر رویداد را دارد و میتواند رویدادهای آینده یا گذشته را جداگانه نشان دهد.
این افزونه در تمامی نسخههای 2.0.4 و قبل از آن دارای آسیبپذیری ارتقای سطح دسترسی است. دلیل این مشکل آن است که افزونه بهدرستی قابلیتهای کاربر را پیش از بهروزرسانی پروفایل در تابع el_update_profile() اعتبارسنجی نمیکند. این موضوع باعث میشود مهاجمان احراز هویتشده با سطح دسترسی Subscriber و بالاتر بتوانند سطح دسترسی خود را به مدیر تغییر دهند.
محصولات آسیبپذیر
-
نسخههای 2.0.4 و قبل از آن
توصیههای امنیتی
- به کاربران توصیه میشود در صورت استفاده از این افزونه، آن را به نسخهی 2.0.5 یا نسخههای بالاتر بهروزرسانی نمایند.
منبع خبر:
- 20